【发布时间】:2011-05-13 07:40:34
【问题描述】:
我在 ASP.NET 中有 Web 应用程序
在我的应用程序中,我的网页包含一个用于输入图书详细信息的文本框。
我希望用户在该文本框中输入<BR/>。
当文本框包含<BR/> 字符串时,不会单击向服务器提交数据的按钮。我不希望用户在 TextBox 中输入 &lt BR/ &gt 而不是 <BR/>
有什么帮助吗?
【问题讨论】:
我在 ASP.NET 中有 Web 应用程序
在我的应用程序中,我的网页包含一个用于输入图书详细信息的文本框。
我希望用户在该文本框中输入<BR/>。
当文本框包含<BR/> 字符串时,不会单击向服务器提交数据的按钮。我不希望用户在 TextBox 中输入 &lt BR/ &gt 而不是 <BR/>
有什么帮助吗?
【问题讨论】:
默认情况下,ASP.Net 将拒绝任何包含 XSS 的回发。
比如<script>alert('xss');</script>被屏蔽了。
但是<br /> 也被屏蔽了,并且大多数网站都关闭了它 - 这取决于您使用的是 WebForms 还是 MVC。
对于 WebForms,将 <pages validateRequest="false"> 添加到配置的 <system.web> 部分,或者如果您只希望该页面可以有一个带有 HTML 标记的 POST,您也可以将 validateRequest="false" 添加到<@ 指令内的 asp.net 页面顶部
对于 MVC,将 [ValidateInput(false)] 添加到您的操作或控制器。
【讨论】: